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(54) Bezeichnung: System zur Wahrung der Vertraulichkeit von elektronischen Daten in einem Netzwerk 

(57) Zusammenfassung: Die vorliegende Erfindung offen- 
bart ein System zur Wahrung der Vertraulichkeit von elek- 
tronischen Daten in einem Netzwerk mit einem Pseudo- 
nym-Generator (9) zur Erstellung von Pseudonymen in At>- 
hangigkeit von durch eine erste Institution (la, lb... In) zur 
Verfugung gestellten Daten, einer Policy Datenbank (8) zur 
Speicherung von Pseudonymisierungsvorschrtften fur Da- 
ten, die durch die erste Institution (la, 1b...1n) uber das 
Netzwerk fur eine zweite Institution (1, 1b...1n) zur Verfu- 
gung gestellt werden sollen, und einer Zentraleinheit (4) zur 
Annahme einer Datenanfrage der zweiten Institution (la, 
1b.. .In) und Steuerung der Pseudonymisiemng der ange- 
forderten Daten entsprechend den in der Policy Datenbank 
(8) gespeicherten Pseudonymisierungsvorschriften. 
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Beschrelbung 

[0001] Die Erfindung betrifft ein System zur Wah- 
rung der Vertraulichkeit von elektronischen Daten in 
einem Netzwerkgemafidem Patentanspruch 1. 

[0002] Bei der Ubermittlung von vertraulichen Daten 
Oder bei dem Zugriff auf vertrauliche Daten ist es be- 
sonders im Falle von medizinischen Daten notig, die- 
se ganz oder teilweise zu verschlussein, insbesonde- 
re z.B. den Namen des Patienten, des behandelnden 
Arztes oder der Arztpraxis. 

Stand der Technik 

[0003] Ein Anonymltatssystem zur Verschlusselung 
von Daten ist in der Patentschrift US 6,389.533 B1 of- 
fenbart. Hierbei wird in einem Anonymitatssytem falls 
auf eine einkommende Nachricht eine Anlwort er- 
WLinscht 1st, vor der Weiterleitung der Nachricht der 
Sender verschiusselt und die Nachricht.anschlieftend 
an den Empfanger oder erst an weitere Anonymitats- 
systeme und dann an den Empfanger geschickt. So 
ist es zum einen mogllch, zu verhindern, dass der 
Empfanger die wahre Identitat des Senders kennt. 
Zum anderen kann aber, wenn der Empfanger eine 
Antwort schickt, diese nach einer Entschlusselung 
des Senders durch das Anonymitatssystem an den 
Sender weitergeleitet werden. 

[0004] Nachteilig hierbei ist jedoch, dass die Daten 
nureinmal ubermittelt werden und nicht beispielswei- 
se uber ein Netzwerk dauerhaft zur Verfugung ge- 
stellt werden. Des Welteren erfoigt stets die selbe Art 
der Verschlusselung, und es wird nicht unterschle- 
den, wie vertraulich die Daten sind oder ob bestimm- 
te Empfanger die wahre Identitat des Senders oder 
kennen oder andere Daten unverschliisselt einsehen 
durfen. 

Aufgabenstellung 

[0005] Aufgabe der vorllegenden Erfindung ist es 
deshalb, in einem Netzwerk von Teilnehmern mit un- 
terschiedlichen Teilaufgaben Daten uber ein zentra- 
les System so zur Verfugung zu stellen, dass auf ei- 
ner "need to know"-Basis nur die Daten zur Verfu- 
gung stehen, die von dem einzelnen Teilnehmer fur 
die Losung seiner Teilaufgabe benotigt werden, und 
dass die Vertraulichkeit der Daten gewahrt wird. ohne 
dabei die Arbeitsprozesse zu behindern. 

[0006] Die Aufgabe wird erfindungsgemafl durch 
die im Patentanspruch 1 gekennzeichneten Merkma- 
le gelost. 

[0007] Gemafl der vorliegenden Erfindung wird ein 
System zur Wahrung der Vertraulichkeit von elektro- 
nischen Daten Jn einem Netzwerk beschrieben mit ei- 
nem Pseudonym-Generator zur Erstellung von Pseu- 



donymen in Abhangigkeit von durch eine erste Insti- 
tution zur Verfugung gestellten Daten, einer Policy 
Datenbank zur Speicherung von Pseudonymisie- 
rungsvorschriften fur Daten, die durch die erste Insti- 
tution uber das Netzwerk fur eine zweite Institution 
zur Verfugung gestellt werden sollen und einer Zen- 
traleinheit zur Annahme einer Datenanfrage der 
zweiten Institution und Steuerung der Pseudonymi- 
sierung der angeforderten Daten entsprechend den 
in der Policy Datenbank gespeicherten Pseudonymi- 
sierungs-Vorschrlflen. 

[0008] Durch die Verwendung eines Netzwerks ist 
der standige Zugriff auf die in dem Netzwerk zur Ver- 
fugung gestellten Daten durch die an das Netzwerk 
angeschlossenen Institutionen moglich. Daruber hin- 
aus ermpglichen die In der Policy Datenbank gespei- 
cherten Pseudonymisierungs-Vorschriften ein flexib- 
les Pseudonymisierungs-Konzept, da je nach Zu- 
griffsberechtigung der zweiten Institution die Daten 
unterschiedlich pseudonymisiert werden und so ver- 
schiedene Stufen der Pseudonymisierung erreicht 
werden konnen. 

[0009] Vorteilhafterweise verfiigt das System uber 
eine Patienten Index Datenbank zur VenA^altung von 
patlentenidentifizierenden Daten. 

[0010] Das System verfugt zweckmaf^igerwelse 
uber eine Institutionen Index Datenbank zur Verwai- 
tung von institutionsidentifizlerenden Daten. 

[0011] Vorzugsweise verfugt das System uber eine 
Personen Index Datenbank zur Verwaltung von Da- 
ten, die sich auf Personen bezlehen, welche inner- 
halb der Institutionen arbeiten. 

[0012] In einer bevorzugten Ausfuhrungsform er- 

zeugt der Pseudonym Generator Pseudonyme fur 
Patientennamen, Institutionen und in den Institutio- 
nen arbeitenden Personen. 

[0013] Zweckmai^igerweise speichert die Zentral- 
einheit die Zuordnung des erzeugten Pseudonyms 
zu dem von der ersten Institution genannten Patien- 
tennamen in der Patienten Index Datenbank. 

[0014] Vorteilhafterweise speichert die Zentralein- 

heit die Zuordnung des erzeugten Pseudonyms zu ei- 
ner Institution in der Institutionen Index Datenbank. 

[0015] Vorzugsweise speichert die Zentraleinheit 
die Zuordnung des erzeugten Pseudonyms zu einer 
in einer Institution arbeitenden Person in der Perso- 
nen Index Datenbank. 

Ausfuhrungsbeispiel 

[0016] Ausfuhrungsbeispiele der Erfindung werden 
im folgenden anhand von Figuren naher eriautert. 
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Dabei zeigen 

[0017] Fig. 1 eine schematische Darstellung eines 
Systems zur Wahrung der Vertraulichkeit von elektro- 
nischen Daten und 

[0018] Fig. 2 ein Flussdiagram der In dem System 
ablaufenden Schritte. 

[0019] Fig. 1 zeigt eine schematische Darstellung 
eines Systems zur Wahrung der Vertraulichkeit von 
elektronlschen Daten. Instltutionen la, lb,... 1n sind 
hierbei iiber eine Kommunlkationseinrichtung 2 mit 
dem System 3 verbunden. Bei den Instltutionen la, 
lb,... In handelt es sich beispielswelse urn Arztpra- 
xen, Klinlken, Forschungseinrichtungen, medlzlni- 
sche Gerate mit Datenschnlttstelle, Qualitatssiche- 
rungsstellen oder Patienten, die auf einem gemeln- 
samen Datenpool zugreifen oder den Pseudonymi- 
slerungsservice nutzen. Die Institutionen 1a, 1b...1n 
sind mit dem System 3 uber eine Kommunlkati- 
onseinrichtung 2 verbunden, welche ein Netzwerk, 
belspielsweise ein Netzwerk uber das Internet oder 
ein geschlossenes Netzwerk sein kann. 

[0020] Das System 3 verfugt iiber einen Pseudo- 
nym Generator 9, welcher Pseudonyme erstellt. die 
bei der Obermittlung von Daten oder bei dem ZugrifT 

auf Daten anstelle derjenigen Daten eingesetzt wer- 
den, die nicht ubermittelt werden sollen, beispielswel- 
se Patientennamen, Arztpraxen oder Arzte. 

[0021] In einer Patienten Index Datenbank 5 werden 
die Zuordnungen zwischen einem bestlmmten Pati- 
enten und den entsprechenden fur die einzelnen In- 
stitutionen la, 1b...1n geltenden Pseudonymen ge- 
spelchert, d.h. es wird gespeichert, fiir welchen origi- 
nalen Patientennanrten welches Pseudonym einge- 
setzt wurde. Analog werden in einer Institutionen In- 
dex Datenbank 6 und in einer Personen Index Daten- 
bank 7 die Zuordnungen zwischen den Institutionen 
la, lb,... 1n und den Pseudonymen sowie die Zuord- 
nungen zwischen den Institutionen arbeltenden Per- 
sonen und den entsprechenden Pseudonymen ge- 
speichert. 

[0022] In einer Policy Datenbank 8 sind die Zugriffs- 
rechtefur die einzelnen Institutionen la, lb,... In ge- 
speichert, d.h. welche Daten pseudonymisiert wer- 
den mussen, wenn eine bestimmte Institution auf die 
Daten zugreift, und welcher Art die Pseudonymisie- 
rung zu sein hat, z.B. Loschung oder Anonymisie- 
rung. 

[0023] Eine Zentraleinheit 4 in dem System 3 uber- 
nimmt die Aufgabe der Annahme von Datenanfragen 
durch eine Institution la, lb, ... In, der Pseudonymi- 
sierung der Daten entsprechend der Zugriffsrechte 
der anfragenden Institutionen, der Speicherung der 
Zuordnung zwischen den origlnalen Daten und dem 



jeweiligen Pseudonym in der entsprechenden Index 
Datenbank und der Obermittlung bzw. des Gewah- 
rens der Zugriffsrechte auf die angeforderten pseud- 
onymisierten Daten. 

[0024] Das System 3 verwaltet somit fiir jede teil- 
nehmende Institution 1a, lb,... In die fiir diese Insti- 
tution geltenden Pseudonyme. Sobald Daten an eine 
Institution gesandt werden oder von dieser eingese- 
hen werden, entscheidet das System 3 anhand der in 
der Policy Datenbank 8 gespeicherten Zugriffsrechte, 
welche Daten diese Institution im Klartext.sehen darf. 
und welche Daten verborgen werden mussen. Den 
Zugriffsrechten entsprechend werden die Daten fiir 
den Teilnehmer modlfiziert. 

[0025] Daten konnen belspielsweise medizinische 
Daten eines Patienten sein, die in einem Datenpool 
verwaltet werden, oder Rontgenbllder, Protokolle von 

medizinischen Geraten (MR, CT), die Patientendaten 
beinhalten. 

[0026] Um die Personen- und institutlonsidentifizie- 
renden Daten der Teilnehmer vorelnander zu verber- 
gen, ohne dass die Arbeitsprozesse behlndert wer- 
den, werden die Daten auf unterschiedliche Art modl- 
fiziert. Vom System 3 werden verschiedene Pseudo- 
nymlsierungsstufen unterstutzt: Dies umfasst anony- 
me bzw. namenversteckende, namenverandernde, 
teilpseudonyme und offene Arbeitsablaufe. 

[0027] Anonym bzw. namenversteckend bedeutet 
hierbei, dass die eingestellten Daten keine Ruckver- 
folgung bezuglich zum Beispiel der erstellenden Insti- 
tution, Person und/oder des Patienten mehr zulas- 
sen. In diesem Falle wird somit fur jede neue Daten- 
anfrage ein neues Pseudonym kreiert. wodurch keine 
Zuordnung zu gleichen Patienten, Institutionen oder 
Personen moglich ist. 

[0028] Eine weitere Moglichkelt ist die Obermittlung 
namenveranderter Daten, d.h. dass die eingestellten 
Daten berechtlgten Stellen eine Auflosung des Pseu- 
donyms und damit die Riickverfolgung der erstellen- 
den Institution/Person und/oder des Patienten zulas- 
sen. In diesem Falle wird furdenselben Patienten so- 
mit immer dasselbe Pseudonym verwendet. die ent- 
sprechende Zuordnung zwischen Patient und Pseud- 
onym wird in der Patienten Index Datenbank 5 ge- 
speichert, auf welche nur die Zentraleinheit 4 Zugrlff 
hat. 

[0029] Des Welteren besteht die Moglichkelt, die 
Daten teilpseudonym zu ubermitteln. wodurch nur 
Telle der identifizierenden Daten pseudonymisiert 
sind. Daruber hinaus unterstutzt das System vdllig of- 
fene Arbeitslaufe, bei welchen die Daten ohne Modi- 
fikatlon ubermittelt werden. Das Pseudonym enl- 
spricht somit den tatsachlichen originalen Daten. 
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[0030] Daruber hinaus wird durch das System 3 zu- 
satzlich eine Identifikation der geschiJtzten Daten 
verhindert, Indem gegenuber jeder Stelle die Daten 
unterschiedlich pseudbnymisiertwerden konnen. Da- 
mit entfallt die Mogltchkeit fur Teilnehmer, unter Um- 
gehung des Systems uber ein gemeinsames bekann- 
tes Pseudonym die Zuordnung zu einem Patienten, 
einer Institution oder einer Person wieder herstellen 
zu konnen. 

[0031 ] In Fig. 2 ist der Ablauf der einzelnen Schritte 
bei der Ubermittlung oder Gewahrung von Zugriffs- 
rechten auf Daten in einem Flulidiagramm darge- 
stellt. In einem Schritt 31 beginnt der Ablauf, bei- 
spielsweise durch die Anfrage einer zweiten Instituti- 
on 1a, lb,... In, welche auf Daten einer ersten Insti- 
tution 1a, 1b.... In zugreifen mochte. Im Schritt S2 
fragt die Zentraleinheit 4 die Zugrlffsrechte der anfra- 
genden zweiten Institution in der Policy Datenbank 8 
ab. 

[0032] In einem dritten Schritt S3 wird uberpruft, ob 
fur die Datenubermittlung zur zweiten Institution von 
der ersten Institution eine Pseudonymisierung erfor- 
derlich ist. Falls nicht, wird in einem Schritt S9 der 
zweiten Institution der Zugriff auf die originalen, nicht 
modifizierten Daten gewahrt. Falls hingegen eine 
Pseudonymisierung erforderlich ist, veranlasst in ei- 
nem Schritt S4 die Zentraleinheit den Pseudonym 
Generator, ein Pseudonym zu erzeugen, und pseud- 
onymisiert in einem Schritt S5 die Daten entspre- 
chend der in der Policy Datenbank gespeicherten Zu- 
griffsrechte. 

[0033] In einem Schritt S6 speichert die Zentralein- 
richtung 4 die eben erstellte Zuordnung der originalen 
Daten und des Pseudonyms in der entsprechenden 
Indexdatenbank. Falls beispielsweise fur Patlenten- 
nahmen Pseudonyme erstellt wurden, so speichert 
die Zentraleinheit 4 die entsprechende Zuordnung in 
der Patientendatenbank 5. 

[0034] In einem Schritt S7 wird nun der zweiten an- 
fragenden Institution la. lb,... In der Zugriff auf die 
pseudonymisierten Daten gewahrt. In einem Schritt 
S8 endet der Prozess. 

[0035] Im Folgenden wird anhand verschiedener 
Beispiele die Arbeitsweise des Systems 3 verdeut- 
iicht. 

[0036] Im Fallbeispiel 1 legt ein Arzt eine Patienten- 
akte an, eine qualitatssichernde Institution (Q-lnstitu- 
tion) greift auf die medizinischen Daten zu, wertet 
diese aus und gibt dem Arzt ein Feedback, ohne die 
Arzt/Patientenldentitat zu kennen. 

[0037] Der Ablauf im Detail gestaltet sich folgender- 
maflen: Der Arzt legt in einer Institution la, 1b,... 1n 
eine neue Patientenakte fiir einen seiner Patienten 
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an. Durch die Kommunikationseinrlchtung 2 ist diese 
erste Institution mit dem System 3 verbunden. Nach 

Aniegen der neuen Patientenakte verglbt die Zentral- 
einheit 4 fiir den Patienten einen internen. d.h, im 
System 3 geltenden Index und speichert diesen in 
der Patienten Index Datenbank 5. 

[0038] Erfolgt nun eine Anfrage einer qualitatssl- 
chernden Institution, so weistdie Zentraleinheit 4 auf- 
grund der In der Policy Datenbank 8 gespeicherten 
Zugrlffsrechte, dass die Q-lnstitutlon Zugriff auf Telle 
der medizinischen Daten der ersten Institution hat, 
aber weder die wahre Patientenidentitat noch die 
Identitat des Arztes oder der Arztpraxis erfahren darf. 
Der Pseudonym Generator erzeugt somit Pseudony- 
me fur den Arzt, die Arztpraxis und den Patienten und 
die Zentraleinheit setzt diese anstelle der tatsachll- 
chen Namen des Arztes, der Arztpraxis und des Pa- 
tienten ein. 

[0039] Greift nun die Q-lnstltution auf die Daten zu, 
so sind die oben genannten identifizierenden Daten 
durch fiir die Q-lnstitutionen generierten Pseudony- 
me ersetzt. Die Zuordnung zwischen den Identifizie- 
renden Daten und den von dem Pseudonym Genera- 
tor 9 identlfizierten Pseudonymen werden von der 
Zentraleinheit In der Patienten Index Datenbank 5, in 
der Instltutlonen Index Datenbank 8 und in der Perso- 
nen Index Datenbank 7 gespeichert. 

[0040] Nach Auswertung der Daten erzeugt die 
Q-lnstitution eine Antwort, die einen bestimmten Tail- 
nehmer, welcher der Q-lnstitution unbekannt ist, zu- 
geordnet werden soil. Dafur setzt die Q-lnstitution die 
ihr bekannten Pseudonymen ein und sendet die Da- 
ten an das System 3. Die Zentraleinheit 4 in dem Sys- 
tem 3 identlfizlert als sendende Stelle die Q-lnstituti- 
on, lost daruber die Pseudonyme auf und fuhrt die 
gewunschte Operation aus, beispielsweise eine 
Nachricht an den Arzt, ein Speichern in der Patiente- 
nakte Oder Nachricht an andere Teilnehmer. 

[0041] Der Arzt selbst kann Pseudonyme fiir seine 
Patienten vergeben. In diesem Falle kennt das Sys- 
tem 3 die wahre Identitat des Patienten nicht. Wenn 
es somIt mit dem Arzt kommunlziert, dann ven/vendet 
es das vom Arzt fur den Patienten vergebene Pseud- 
onym. 

[0042] Falls das System aufgrund der in der Policy 
Datenbank 8 gespeicherten Zugriffsrecht weifl, dass 
die Q-lnstitution nur anonyme Daten sehen darf, so 
werden fiir jeden Vorgang zwischen dem System 3 
und der Q-lnstitution neue Pseudonyme eingesetzt, 
wodurch eine Zuordnung von Daten zu bestimmten 
Patienten, Arztpraxen oder Arzten nicht mogllch Ist. 

[0043] Ein welteres Fallbeispiel Ist das einer mogti- 

chen Fernwartung von medizinischen Geraten. In ei- 
ner medizinischen Institution la, lb,... In, beispieis- 
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weise In einem Krankenhaus oder einer Praxis, ste- 
hen medizinische Gerate wie z.B. MR, CT, Rontgen, 
Angiografiegerate, Uitraschall, PET. Beatmungsgera- 
te Oder Infusionsgerate. Diese sollen nun von einem 
Service oder Ingenieur per Fernwartung oder Fern- 
zugriff bedient werden, ohne dass dabei der Service 
Ingenieur die Patientendaten. die Arztdaten oder die 
Institutionsdaten kennt. 

[0044] In diesem Beispiel pseudonymisiert das Sys- 
tem 3 die aus dem Kliniksystem bzw. aus dem Gerat 
kommenden Daten, um eine Identifikation des Pati- 
enten oder einer Institution zu verhindern, speichert 
diese entsprechende Zuordnung jedoch in der Da- 
tenbank. Wenn nun seitens des Service Ingenieurs 
Fehleranalysen zu der uberpruften Institution uber- 
mittelt werden sollen. so ermdglicht die in der Index 
Datenbank gespeicherte Zuordnung dem System 3, 
die Daten wieder an die Institution senden zu konnen, 
ohne dass der Service Ingenieur die tatsachliche 
Identitat der Institution oder des Patienten kennen 
muss. 

Patentanspruche 

1 . System zur Wahrung der Vertraulichkeit von 
elektronischen Daten in einem Netzwerk mit 
einem Pseudonym Generator (9) zur Erstellung von 
Pseudonymen in Abhangigkeit von durch eine erste 
Institution (1a. 1b... 1n) zur Verfugung gestellten Da- 
ten, 

einer Policy Datenbank (8) zur Speicherung von 
Pseudonymlsierungsvorschriften fiir Daten, die durch 
die erste Institution (la, 1b...1n) uber das Netzwerk 
fiir eine zweite Institution (1, lb,... In) zur Verfugung 
gestellt werden sollen und 

einer Zentra|einheit (4) zur Annahme einer Datenan- 
frage derzweiten Institution (1a, lb,.., 1n) und Steu- 
erung der Pseudonymisierung der angeforderten Da- 
ten entsprechend den in der Policy Datenbank (8) ge- 
speicherten Pseudonymlsierungsvorschriften. 

2. System nach Anspruch 1, gekennzeichnet 
durch eine Patienten Index Datenbank (5) zur Ver- 
waltung von patientenidentifizierenden Daten. 

3. System nach einem der vorhergehenden An- 
spruche, gekennzeichnet durch eine Institutionen In- 
dex Datenbank (6) zur Verwaltung von institutionsi- 
dentifizierenden Daten. 

4. System nach einem der vorhergehenden An- 
spruche, gekennzeichnet durch eine Personen Index 
Datenbank (7) zur Verwaltung von Daten, die sich auf 
Personen beziehen, welche innerhalb der Institutio- 
nen (1a, lb,... 1n)arbeiten. 

5. System nach einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, dass der Pseudo- 
nym Generator (9) Pseudonyme fiir Patientennamen, 
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Institutionen (la, lb,... In) und in den Institutionen 
arbellende Personen erzeugt. 

6. System nach Anspruch 5, dadurch gekenn- 
zeichnet, dass die Zentraleinheit (4) die Zuordnung 
des erzeugten Pseudonyms zu dem von der ersten 
Institution (la, lb,. ..In) genannten Patientennamen 
in der Patienten Index Datenbank (5) speichert. 

7. System nach einem der Anspruche 5 oder 6. 
dadurch gekennzeichnet, dass die Zentraleinheit (4) 
die Zuordnung des erzeugten Pseudonyms zu einer 
Institution (la, lb,... In) in der Institutionen Index Da- 
tenbank (6) speichert. 

8. System nach einem der Anspruche 5 bis 7, da- 
durch gekennzeichnet, dass die Zentraleinheit (4) die 
Zuordnung des erzeugten Pseudonyms zu einer in 
einer Institution (la, lb.... In) arbeitenden Person in 
der Personen Index Datenbank (7) speichert. 

Es folgen 2 Blatt Zeichnungen 
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[0001] The invention concerns a system for the keeping of the privacy of 
electronic data in a network in accordance with the patent claim 1 . 
[0002] During the transmission of confidential data or with the access to 
confidential data it is particulariy necessary in case of of medical data to code 
these totally or partly in particular e.g. the names of the patient, the treating 
physician or the medical practice. 

State of the art 

[0003] An anonymity system for the coding of data is revealed in the patent 
specification US 6.389.533 B1. Here in a Anonym itatssytem if on a coming in 
message an answer is desired, before the forwarding of the message of the 
transmitters coded and the message afterwards to the receiver or only to 
further anonymity systems and then to the receiver skillfully. Like that it is on 
the one hand possible to prevent that the receiver knows the true identity of 
the transmitter. On the other hand however, if the receiver sends an answer, 
this can be passed on after a decoding of the transmitter by the anonymity 
system to the transmitter. 

[0004] Unfavorably here it is however that the data are only once conveyed 
and not for example over a network durably are made available. The 
moreover one the same kind of the coding always takes place, and it is not 
differentiated, how confidential the data are or whether certain receivers may 
know the true identity of the transmitter or or see other data unencrypted. 

Setting of tasks 

[0005] Task of the available invention is it therefore to make available in a 
network of participants with different subtasks data over a central system in 
such a way the fact that on one ?need tons know? - basis only the data is 
available, which by the individual participant for the solution of its subtask are 
needed, and that the privacy of the data is protected, without in it the working 
processes to obstruct. 



[0006] The task is solved according to invention by the characteristics marked 
in the patent claim 1 . 

[0007] In accordance with the available invention a system to the keeping of 
the privacy described by electronic data in a network with an alias generator 
to the production by aliases as a function of data provided by a first institution, 
a Policy data base to storage by Pseudonymisierungsvorschriften for data, 
those by the first institution over the network for a second institution to be 
made available to be supposed and a central processing unit to the 
acceptance of a data inquiry of the second institution and controlling of the 
Pseudonymisierung according to of the requested data in the Policy data 
base stored Pseudonymisierungs regulations, 

[0008] By the use of a network is possible the constant access to the data 
provided in the network by the institutions attached to the network. Beyond 
that make possible in the Policy data base stored Pseudonymisierungs 
regulations a flexible Pseudonymisierungs concept, since depending upon 
access authorization of the second institution the data are differently 
pseudonymisiert and so different stages of the Pseudonymisierung to be 
achieved to be able. 

[0009] Favourable way has the system patients index data base for the 
administration of patient-identifying data. 

[0010] The system has appropriately institutions index data base for the 

administration of institution-identifying data. 

[001 1] Preferably the system has persons index data base for the 

administration of data, which refer to persons, who work within the 

institutions. 

[0012] In a preferential execution form the aliases generator of aliases for 
patient name, institutions and in the institutions produces working persons. 
[0013] The central processing unit appropriately stores the allocation of the 
produced alias to the patient name in the patients index data base, specified 
by the first institution. 
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[0014] Favourable way stores the central processing unit the allocation of the 
produced alias to an institution in the institutions index data base. 
[0015] Preferably the central processing unit stores the allocation of the 
produced alias to a person in the persons index data base, working in an 
institution. 

Remark example 

[0016] Remark examples of the invention are more near described in the 
following on the basis figures. Show 

[0017] Fig. 1 a schematic representation of a system for the keeping of the 
privacy of electronic data and 

[0018] Fig. 2 a flow chart of the steps running off in the system. 
[0019] Fig. 1 points a schematic representation of a system to the keeping of 
the privacy of electronic data. Institutions la, lb,? 1n are here connected by a 
communication device 2 with the system 3. With the institutions 1a, lb.? In 
concerns it for example medical practices, hospitals, research 
establishments, medical instruments with data interface, quality assurance 
places or patients, which access on a common data pool or which 
Pseudonymisierungsservice use. The institutions la, lb? In are connected 
with the system 3 by a communication device 2, which can be a network, for 
example a network over Internet or a closed network. 
[0020] The system 3 has alias a generator 9, which provides aliases, which 
are used during the transmission by data or with the access to data in place 
of those data, which are not to be conveyed, for example patient names, 
medical practices or physicians. 

[0021] In patients index data base 5 are stored the allocations between a 
certain patient and the appropriate for the individual institutions la, lb? In 
valid aliases, i.e. it is stored, for which original patient names which alias was 
used. Institutions become similar index data base 6 and in persons index data 
base 7 the allocations between the institutions 1a, lb, in? In and the aliases 



as well as the allocations between the institutions working persons and the 
appropriate aliases stored. 

[0022] In a Policy data base 8 are the rights of access for the individual 
institutions 1a, 1b,? In stored, i.e. which data must be pseudonymisiert, if a 
certain institution accesses the data, and which kind the Pseudonymisierung 
has to be, e.g. Deletion or anonym ization. 

[0023] A central processing unit 4 in the system 3 takes over the task of the 
acceptance of data inquiries by an institution la, 1b,? In, the 
Pseudonymisierung according to data the rights of access of the inquiring 
institutions, the storage of the allocation between the original data and the 
respective alias in the appropriate index data base and the transmission 
and/or. granting the rights of access on the requested pseudonymisierten 
data. 

[0024] The system 3 administers thus for each participating institution la, 
1b,? In the aliases valid for this institution. As soon as data are sent to an 
institution or by this are seen, the system 3 decides 8 stored rights of access, 
which data this institution in the plain language may see on the basis in the 
Policy data base, and which data to be hidden to have. The data for the 
participant are modified accordingly to the rights of access. 
[0025] Data can be for example medical data of a patient, which are 
administered in a data pool, or radiographs, minutes of medical instruments 
(MR, CT), which contain patient data. 

[0026] In order to hide person and institution-identifying data of the 
participants before each other, without the working processes are obstructed, 
the data in different kind are modified. By the system 3 different 
Pseudonymisierungsstufen is supported: This covers anonymous and/or. 
name-hiding, name-changing, part aliases and open operational sequences. 
[0027] Anonymous and/or. name-hiding it means here that the adjusted data 
permit no more backtracing concerning for example the providing institution, 
person and/or the patient. In this case for each new data inquiry a new alias 



is thus created, whereby no allocation to same patients, institutions or 
persons is possible. 

[0028] A further possibility is the transmission of name-changed data, i.e. that 
the adjusted data entitled places a dissolution of the alias and thus the 
backtracing of the providing institution/person and/or the patient permit. In this 
case for the same patient the same alias is thus always used, who 
appropriate allocation stored between patient and alias in the patients index 
data base 5, on which only the central processing unit has 4 access. 
[0029] The moreover one the possibility exists of conveying the data part 
alias whereby only parts of the identifying data are pseudonymisiert. Beyond 
that the system supports completely open work runs, with which the data 
without modification are conveyed. The alias corresponds thus to the actual 
original data. 

[0030] Beyond that by the system 3 additionally an identification of the 
protected data is prevented, as in relation to each place the data can be 
differently pseudonymisiert. Thus the possibility for participants is void of 
being able to repair under evasion of the system over a common well-known 
alias the allocation to a patient, an institution or a person. 
[0031] In Fig. the expiration of the individual steps represented 2 during the 
transmission or grant of rights of access on data is in a flow chart. In a step 
S1 the expiration, for example by the inquiry of a second institution 1a, begins 
1b,? In, which on data of a first institution la, lb,? In to access would like. In 
the step S2 the central processing unit 4 queries the rights of access of the 
inquiring second institution in the Policy data base 8. 
[0032] In a third step S3 it is examined whether for the data communication 
for the second institution of the first institution a Pseudonymisierung is 
necessary. Othen/vise, in a step S9 of the second institution that is granted to 
access to the original, not modified data. If however a Pseudonymisierung is 
necessary, the central processing unit arranges the alias generator to 
produce an alias and pseudonymisiert in a step S5 according to data into the 



Policy data base stored rights of access in a step S4. 
[0033] In a step S6 the central mechanism 4 stores the evenly provided 
allocation of the original data and the alias in the appropriate index data base. 
If for example for patient-taken aliases were provided, then the central 
processing unit 4 stores the appropriate allocation in the patient data bank 5. 
[0034] In a step S7 now the second inquiring institution 1a, 1b becomes,? 1n 
. that access to the pseudonymisierten data grants. In a step S8 the process 
ends. 

[0035] In the following on the basis different examples the function of the 
system 3 is clarified. 

[0036] In the case example 1 a physician puts on a patient document, a 
quality-assurance institution (Q-institution) accesses the medical data, 
evaluates these and gives to the physician a feedback, without knowing the 
physician/patient identity. 

[0037] The expiration in the detail turns out as follows: The physician puts 1a, 
in an institution lb,? In a new patient document for one of its patients on. By 
the communication device 2 this first institution is connected with the system 
3. In accordance with creation of the new patient document the central 
processing unit 4 for the patient assigns an internal, i.e. in the system 3 valid 
index and stores this in the patients index data base 5. 
[0038] Taken place now an inquiry of a quality-assurance institution, then the 
central processing unit 4 points 8 stored rights of access due to in the Policy 
data base that the Q-institution has access to parts of the medical data of the 
first institution, but neither the true patient identity nor the identity of the 
physician or the medical practice experienced may. The aliases generator 
produced thus this uses aliases for the physician, the medical practice and 
the patient and the central processing unit in place of the actual names of the 
physician, the medical practice and the patient. 

[0039] Now if the Q-institution accesses the data, then the identifying data 
specified above are through replaced for the Q-institutions of generated 



aliases. The allocation between the identifying data and of the alias the 
generator 9 identified aliases are stored by the central processing unit in the 
patients index data base 5, in the institutions index data base 6 and in the 
persons index data base 7. 

[0040] After evaluation of the data the Q-institution produces an answer, 
which a certain participant, which is unknown to the Q-institution, to be 
assigned is. But the Q-institution uses it well-known aliases and sends the 
data to the system 3. The central processing unit 4 in the system 3 identified 
as sending place the Q-institution, dissolves over it the aliases and 
implements the desired operation, for example a message to the physician, 
storing in the patient document or message to other participants. 
[0041] The physician can assign aliases for its patients. In this case the 
system 3 does not know the true identity of the patient. If it communicates 
thus with the physician, then it uses the alias assigned by the physician for 
the patient. 

[0042] If the system knows due to in the Policy data base 8 stored right of 
access that the Q-institution may see only anonymous data, then for each 
procedure between the system 3 and the Q-institution new aliases are used, 
whereby an allocation from data to certain patients, medical practices or 
physicians is not possible. 

[0043] A further case example is that possible remote maintenance of 
medical instruments. In a medical institution 1a, 1b,? In, for example in a 
hospital or a practice, stand medical instruments like e.g. MR, CT, Roentgen, 
Angiografiegerate, Ultraschall, PET, respirators or infusion devices. These 
are to be served now by a service or an engineer by remote maintenance or 
main line train reef, without with it the service engineer the patient data, which 
knows physician data or the institution data. 

[0044] In this example the system 3 pseudonymisiert from the hospital system 
and/or. from the equipment, in order to prevent an identification of the patient 
or an institution, this appropriate allocation stores coming data however in the 
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data base. If now on the part of the service of engineer error analyses are to 
be conveyed to the examined institution, then into the index data base makes 
possible stored allocation for the system 3 to be able to send the data the 
institution without the service engineer must know the actual identity of the 
institution or the patient. 
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. System for the keeping of the privacy of electronic data In a network also 

an alias generator (9) to the production of aliases as a function of by a first institution (la, lb? In) provided 
data, 

a Policy data base (8) to the storage of Pseudonymisierungsvorschriften for data, those by the first institution 

(la, lb? In) over the network for a second institution (1, lb,? In) to be made available are and 

a central processing unit (4) to the acceptance of a data Inquiry of the second institution (la, lb,? In) and 

controlling of the Pseudonymislerung according to of the requested data in the Policy data base (8) stored 

Pseudonymisierungsvorschriften. 

2. System according to requirement 1, characterized by patients index data base (5) to the administration of 
patlent-ldentlfying data. 

3. System after one of the preceding requirements, characterized by institutions Index data base (6) to the 
administration of Institution-identifying data. 

4. System after one of the preceding requirements, characterized by persons Index data base (7) to the 
administration of data, which refer to persons, who within the Institutions (la, lb,? In) work. 

5. System after one of the preceding requirements, by the fact characterized that the aliases generator (of 9) 
aliases for patient name, institutions (la, lb,? In) and In the institutions working persons produces. 

6. System according to requirement 5, by the fact characterized that the central processing unit (4) stores the 
allocation of the produced alias to the patient name In the patients index data base (5), mentioned by the first 
institution (la, lb,? In). 

7. System after one of the requirements 5 or 6, by the fact characterized that the central processing unit (4) 
the allocation of the produced alias to an Institution (la, lb,? In) in the Institutions index data base (6) stores. 

8. System after one of the requirements 5 to 7, by the fact characterized that the central processing unit (4) 
the allocation of the produced alias to one In an Institution (la, lb,? In) working person in the persons index 
data base (7) stores. 
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